今天我的脚本被测试组的蹂躏了....
1.举个最简单的例子吧:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>just 4 test</title>
<script type="text/javascript">
function test()
{
var value = document.getElementById('text').value ;
if(value==null || value=="")
{
alert('不能空')
return false
}
return true;
}
</script>
</head>
<body>
<form action="" method="post" name='gg'>
<input type="text" id="text"/>
<input type="button" onclick="javascript:if(test())gg.submit()" value="Encode"/>
</form>
</body>
</html>
测试在text里输入 "><script>alert("XSS")</script>
提交.....
结果再次读入这个记录的时候会弹出alter.....
2.于是我建了一个正则,专门在提交之前检查是否存在<script>这样的字符串
测试在text里仍旧输入"><script>alert("XSS")</script>
然后在地址栏里输入javascript:alert(test=function test(){alert('蹂躏你')})
提交......
结果再次读入这个记录的时候会弹出alert.....
3.给text添加onchange="javascript:this.value=escape(this.value)"
结果被告知中间可以包含空格,但是空格会变成%xxxxxx
4.onchange="javascript:this.value=escape(this.value). .replace(/%20/g,' ')"
等待审查中......
而且我在想,如果可恶的测试把onchange()都重写了,我该怎么办.......
分享到:
相关推荐
例如,登录功能在许多应用中都是基础且常见的,因此一个健壮的登录测试脚本可以被多个测试用例复用。 **脚本语言的定义与类型** 测试脚本语言是一种专用于测试领域的脚本语言分支,它通常基于解释型语言,如Perl、...
"3dsmax脚本大全"这个压缩包很可能包含了多种3dsmax使用的脚本,这些脚本可能涵盖建模、材质、灯光、动画、粒子系统等多个方面。 一、脚本基础 1. 脚本语言:3dsmax支持两种主要的脚本语言——MaxScript和Python。...
在PADS中,脚本文件是提升工作效率的重要工具,尤其对于重复性任务或者自定义操作,编写脚本可以实现自动化处理。本文将详细介绍"PADS常用脚本文件"及其应用。 1. **脚本基础**: - 脚本语言:PADS主要使用VHDL和...
日志被记录为基于 python 的脚本。用户可以修改这些脚本或创建新的脚本,这称为脚本。这些功能使用户能够快速轻松地重放已经通过记录日志运行的分析,以及扩展功能,自动化重复分析,并通过脚本以批处理模式运行分析...
此BAT脚本可以帮助开发人员将某文件夹下所有SQL脚本按文件名依次在指定数据库中批量执行。并且生成日志文件,可查看执行过的所有脚本名称和错误信息。 注意: (1) 使用前需确保已将sqlcmd加入到系统环境变量中。 (2...
在WinCC中,脚本语言被广泛用于自动化任务、数据处理和与用户界面元素的交互。WinCC支持的C脚本类似于标准的C语言,而VBS脚本则基于Visual Basic语言的简化版本。这两种脚本语言在语法上有所不同,但都提供了丰富的...
6. 游戏脚本的优化:游戏脚本的优化是游戏脚本设计中的重要步骤,游戏脚本的优化需要考虑游戏脚本的性能、游戏脚本的可读性和游戏脚本的维护性。从提供的实例中,我们可以看到游戏脚本的优化需要包括游戏脚本的优化...
c 语言模式脚本解析器,脚本执行不是其目的。其作用是对PE文件进行编辑。暂且不论。 现在仅支持 if关键字、以及一些+-/* && || 等常规操作。 操作符支持优先级,但不支持括号。 今天调试成功,先放出来,让大家看看...
在SCDM中,你可以通过文件>新建>脚本来打开脚本编辑器,输入相应的Python代码,然后点击运行按钮,脚本就会被执行。 **SCDM脚本介绍** SCDM的脚本环境允许用户录制或编写脚本命令,自动化重复任务和复杂工作流程,...
与不支持的外接设备通讯,意味着通过编写扩展脚本,可以实现与那些未直接被PRO-FACE支持的外设进行数据交互。例如,可以编写脚本从连接在USB端口的条形码扫描器中读取数据,并将这些数据输出到连接在COM1端口的串行...
在某些官方或特定规则的服务器中,使用脚本可能会被视为作弊,可能导致账号被封禁。因此,玩家在使用时需了解并遵守所在服务器的规定,以免对自己的游戏生涯造成负面影响。 至于压缩包中的文件"cstrike_schinese"和...
《RPG Maker XP脚本集合:打造你的游戏世界》 RPG Maker XP是一款深受爱好者喜爱的游戏制作工具,它允许用户无需编程基础即可构建自己的角色扮演游戏。而“rpg maker xp脚本集合”则为这个平台提供了更为丰富的功能...
《WINDOWS脚本技术手册》是一本全面覆盖Windows脚本编程技术的权威指南,它深入浅出地介绍了在Windows操作系统环境中,如何利用各种脚本语言进行系统管理和自动化操作。手册不仅涵盖了JScript、VBScript这两种主要的...
这个名字暗示可能有五个主要功能或组件的阅读脚本被整合在这个应用中。 3. "五条脚本教程.docx" - 这是一个Microsoft Word文档,可能是关于如何使用“五条脚本”的教程。用户可以通过这份文档了解如何安装、配置和...
AD域控的检查脚本 检测脚本
STW脚本和Assa脚本指令详解 《STW脚本和Assa脚本指令详解》电子书由渔人制造收集制作,部分内容顺序为了阅读方便做了必要的调整,在此特别说明并向原作者致歉。
脚本加密解密器是一种工具,它的主要功能是将脚本代码进行加密处理,以使其在未经授权的情况下无法被轻易读取或理解,同时也能提供解密机制,使得在需要执行时能够正确解读并运行加密后的脚本。 脚本加密通常涉及到...
Linux运维自动化运维脚本.zip,自动化运维脚本 介绍 Linux系统运维中各种一键脚本 使用教程 openssh一键升级脚本,支持centos6、centos7、centos8。 Linux运维自动化运维脚本.zip,自动化运维脚本 介绍 Linux系统...
《星穹铁道自动使用兑换码脚本》是一款专为《星穹铁道》游戏设计的辅助工具,它能够帮助玩家自动使用游戏内的兑换码,从而省去手动输入的繁琐步骤,提高游戏体验。该脚本基于Python编程语言编写,因此在使用前,用户...
如果你的其他脚本也打开了并且引用了这个被重命名的类,它们可能会显示错误。在这种情况下,你需要在每个打开的脚本中同样更新类名,然后保存它们。如果你的代码编辑器支持批量保存,例如通过File->Save All,可以...